Prema novoj Općoj uredbi o zaštiti osobnih podataka, organizacije čije se osnovne djelatnosti sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrhe iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili opsežnih obrada posebnih kategorija osobnih podataka i podataka u vezi s kaznenim osudama i kažnjivim djelima, dužne su imenovati službenika za zaštitu osobnih podataka.
Također, moraju ga imenovati ako su tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti. Mnoge organizacije žive u uvjerenju da su one već ispunile ovaj zahtjev jer već po postojećem Zakonu o zaštiti osobnih podataka imaju imenovane službenike za zaštitu osobnih podataka, koji redovno komuniciraju s AZOP-om i prijavljuju registre osobnih podataka te surađuju prilikom nadzornih posjeta ili u slučaju prigovora ispitanika. Prema trenutačnom zakonu, nije propisano koje posebne uvjete u pogledu stručne spreme ili radnog mjesta treba ispunjavati službenik za zaštitu osobnih podataka. Međutim, kriteriji za “novog” službenika u novoj su uredbi, koja se u potpunosti primjenjuje od 25. 5. 2018., daleko stroži u odnosu na postojeći zakon. Prema novoj uredbi, službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja sljedećih zadaća: informiranje i savjetovanje organizacije o obvezama iz uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; praćenje poštovanja uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika organizacije u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja; suradnja s nadzornim tijelom i djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade.
Službenik za zaštitu podataka pri obavljanju svojih zadaća mora voditi računa o riziku povezanom s postupcima obrade i uzimati u obzir prirodu, opseg, kontekst i svrhe obrade. Drugim riječima, novi službenik za zaštitu osobnih podataka mora imati primjerena znanja o samoj uredbi, poslovnim procesima organizacije i vrstama obrade osobnih podataka, razumijevanje organizacijskih i tehničkih mjera zaštite osobnih podataka, razumijevanje rada informacijskih sustava, te metodologija procjene i upravljanja rizicima, kako bi mogao odgovorno izvršavati svoje zadaće. Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti, no potrebno je osigurati da takve zadaće i dužnosti ne dovedu do sukoba interesa. Kako bi se osiguralo da službenik za zaštitu osobnih podataka može kvalitetno i neovisno obavljati svoje zadaće, tvorci uredbe pobrinuli su se i za to da se njegova pozicija jasno definira.
On mora izravno odgovarati najvišoj rukovodećoj razini u organizaciji te ga se ne smije razriješiti dužnosti ili kazniti zbog izvršavanja svojih zadaća. Jeste li ga imenovali?